Professional Documents
Culture Documents
15th Ch5 Is Control Đã Nén
15th Ch5 Is Control Đã Nén
Accounting Information
Systems 15th: Chapters 8, 11, 12, 13
AIS
21 Disaster recovery plan (DRP) 296 Kế hoạch phục hồi sau thảm họa
22 Encryption 269 Mã hóa
23 Fault tolerance 293 Dung sai/ sức chịu đựng lỗi hệ thống
24 Field check 288 Kiểm tra kiểu dữ liệu
25 Financial total 289 Tổng tài chính
26 Hash total 289 Tổng hash
27 Incremental backup 295 Sao lưu từng phần
28 Information rights management 262 Phần mềm quản trị quyền thông tin
(IRM)
29 Intrusion detection system (IDS) 248 Hệ thống phát hiện thâm nhập
30 Limit check 288 Kiểm tra giới hạn
• Gian lận đầu vào (input): Làm sai lệch thông tin đầu vào của máy
tính
• Gian lận sử dụng thiết bị xử lý : bao gồm việc sử dụng hệ thống
trái phép (trộm cắp thời gian và dịch vụ của máy tính)
• Gian lận phần mềm: giả mạo phần mềm của công ty, sao chép
phần mềm bất hợp pháp, sử dụng phần mềm trái phép và phát triển
phần mềm để thực hiện hoạt động trái phép. Gian lận này đòi hỏi
kiến thức lập trình chuyên biệt.
o Dùng máy tính làm giả kết quả đầu ra giống như thật. (VD scan 1 SEC, sử
dụng thiết bị nhận diện tín hiệu màn hình để xử lý SEC, sửa tên người nhận,
số tiền và in SEC giả mạo này)
Mục lục
1.1. Ba khái niệm cơ bản ANTT (Three fundamental
information security concept)
1.2. Bảo vệ nguồn lực thông tin
1.3. Phát hiện tấn công (Detecting Attacks)
1.4. Đáp trả tấn công (response the attack)
1.5. Giám sát và sửa đổi các giải pháp bảo mật
➢ Ngoài các công cụ kỹ thuật thì cần vai trò các nhóm
An toàn
chức năng trong chu trình ANTT
(Secure): Kiểm
soát truy cập • BQL cấp cao (Senior management) tham gia và hỗ trợ toàn bộ chu
(cả vật lý và trình ANTT, đảm bảo cho sự thành công với ANTT
logic) vào hệ • Nhóm công nghệ thông tin (The information technology function): Cài
thống và dữ đặt và duy trì giải pháp công nghệ
liệu của hệ • Nhóm rủi ro và tuân thủ (The risk and compliance group). Thiết kế
thống chính sách ANTT và đảm bảo tuân thủ
• Kiểm toán nội bộ (internal audit): Định kỳ thực hiện đánh giá độc lập
sụ hữu hiêu và hiệu quả của chương trình ANTT
phản ứng RR
3. Đạt được
& triển khai
giải pháp
P > D + R
Thời gian để vượt qua Thời gian để Thời gian để phản
các kiểm soát bảo vệ phát hiện một ứng lại với cuộc tấn
của DN cuộc tấn công công và thực hiện
kiểm soát sửa sai
toàn thông
tin dựa trên
thời gian
(the time-
based
model of
information
security)
• Phân tích
Chức năng
lập trình • Lập trình
(programming) o Thiết kế, test chương trình Hệ thống mới
o Sửa chữa hệ thống hiện hành
Chức năng
• Lưu trữ dữ liệu về mặt vật lý và bảo dưỡng CSDL, tập tin
lưu trữ dữ và chương trình.
liệu (Data
storage)
• Bảo dưỡng các tập tin lưu dự phòng tại nơi lưu trữ (offsite)
• Giữ các thiết bị vật lý có chứa dữ liệu
• CISO phải có trách nhiệm đảm bảo rằng các đánh giá về điểm yếu
tiềm ẩn (vulnerabilities) và rủi ro được thực hiện thường xuyên và
các cuộc kiểm toán an toàn TT được thực hiện định kỳ.
• CISO
✓ làm việc và báo cáo cho CIO;
✓ hợp tác chặt chẽ với người chịu trách nhiệm về an toàn vật lý
Thử nghiệm thâm nhập là một nỗ lực được ủy quyền, được thực
hiện bởi nhóm kiểm toán nội bộ hoặc công ty tư vấn bảo mật bên
ngoài để đột nhập vào hệ thống thông tin của tổ chức. Các nhóm
này cố gắng làm mọi cách có thể để xâm phạm hệ thống của
công ty.
Mục lục
2.1. Bảo vệ tính bảo mật (confidentiality) tài sản
trí tuệ và quyền riêng tư (private)
2.2. Luật và những nguyên tắcđược chấp nhận
chung về quyền riêng tư
2.3. Môt số công nghệ bảo mật và quyền riêng tư
❖Mục tiêu:
Bảo vệ các • Bảo mật thông tin (confidentiality): Bảo vệ tính bảo
mật của tài sản trí tuệ của một tổ chức
thông tin nhạy
cảm khỏi những • Bảo vệ quyền riêng tư (privacy) của thông tin cá
nhân mà nó thu thập từ khách hàng, nhân viên,
truy cập và công
nhà cung cấp và bên đối tác kinh doanh
bố không được
ủy quyền.
▪ 1. Management Quản lý .
✓ Các tổ chức cần thiết lập một bộ quy trình và chính sách để bảo vệ
quyền riêng tư của thông tin cá nhân
✓ Chỉ định vị trí nhân viên chịu trách nhiệm bảo mật dữ liệu “a Data Privacy
Officer.”
▪ 2. Notice. Thông báo. Cần cung cấp thông báo về các chính sách
và thực hành trước khi thu thập thông tin cá nhân:
✓ Thông tin nào đang được thu thập
✓ Lý do thu thập thông tin
✓ Cách thông tin sẽ được sử dụng.
▪ 3. Choice and consent. Lựa chọn và đồng ý
Các tổ chức nên giải thích các lựa chọn có sẵn cho các cá nhân và nhận được sự
đồng ý của họ trước khi thu thập và sử dụng thông tin cá nhân của họ
▪ → Khi sử dụng điện toán đám mây vì việc lưu trữ thông tin cá nhân của khách hàng trên
đám mây có thể bị truy cập bởi nhân viên của nhà cung cấp đám mây -> thông tin phải
luôn được mã hóa.
9. Quality. Chất lượng. Nên duy trì tính toàn vẹn của thông tin cá nhân của khách
hàng và áp dụng các quy trình để đảm bảo thông tin đó chính xác một cách hợp lý (vd,
cho phép khách hàng xem lại thông tin cá nhân được tổ chức lưu trữ)
✓ Nên thiết lập các thủ tục để trả lời các khiếu nại của khách hàng, bao gồm cả việc
sử dụng quy trình giải quyết tranh chấp của bên thứ ba.
Trộm cắp danh tính là việc sử dụng trái phép thông tin cá nhân của
ai đó vì lợi ích của thủ phạm:
✓ Tài chính: sử dụng danh tính ăn cắp để mở thẻ tín dụng, hoăc đi vay hoặc đánh
cắp tài khoản ngân của nạn nhân; Nghĩa vụ nộp và hoàn thuế của nạn nhân
✓ Sử dụng dịch vụ y tế:
Các tổ chức cần có trách nhiệm
✓ Nghĩa vụ về pháp lý liên quan bảo mật quyền riêng tư cá nhân
✓ Nghĩa vụ về về đạo đức và trách nhiệm liên quan bảo mật quyền riêng tư cá nhân
• Mã hóa (encryption)
• Mạng riêng ảo (virtual private network -VPN)
• Hashing
• Chữ ký số (digital signature)
Mục lục
Mục đích:
Kiểm soát toàn vẹn
nhằm tạo ra thông tin
chính xác, đầy đủ, kịp
thời và hợp lệ (p.423).
Mục lục
Mục đích:
• Đảm bảo hệ
thống và thông
tin sẵn sàng khi
sử dụng
Lưu dự phòng là
một bản sao
(copy) của hoặc
• cơ sở dữ liệu
• tập tin
• chương trình
• Tùy tính chất của tổ chức để xác định RPO và RTO bao
nhiêu là phù hợp (RTO có thể đo lường theo giờ hay ngày)
• RPO tỷ lệ nghịch với tần suất sao lưu dự phòng (backup)
• RTO càng dài; RPO càng lớn thì mức độ đầu tư cho DRP và
BCP càng ít hơn -> chi phí sẽ thấp hơn so RTO & RPO thấp
• Kế hoạch phục hồi sau thảm họa (DRP): liệt kê các thủ tục để khôi
phục các chức năng hoạt động của DN trong trường hợp trung tâm
dữ liệu bị phá hủy bởi tự nhiên hoặc khủng bố
• Lập hồ sơ DRP
• Kiểm tra/test DRP định kỳ (thường hàng năm)
• Kế hoạch hoạt động kinh doanh liên tục BCP xác định cách thức hoạt
động lại của hệ thống IT và qui trình kinh doanh
o Xác định vị trí dự phòng
o Thuê chỗ thay thế tạm thời
o V.v…
• Lập hồ sơ BCP
• Xem xét lại và kiểm tra định kỳ BCP (thường là hàng năm)
• Ảo hóa và điện toán đám mây giúp gia tăng tính hữu hiệu và hiệu quả
của các hoạt động khôi phục thảm họa và tiếp tục lại hoạt động kinh
doanh.